Attributs de ressource pour les conditions Cloud IAM

Cette rubrique contient la liste des valeurs pouvant être utilisées pour les attributs de ressource d'une condition, y compris les valeurs de chaîne pour le service de ressources, le type de ressource et le format pour les chaînes de nom de ressource.

Les attributs de ressource permettent de modifier la portée de l'attribution fournie par une liaison de rôle. Lorsqu'un rôle contient des autorisations qui s'appliquent à différents types de ressources, une condition permet d'attribuer un sous-ensemble des autorisations du rôle en fonction du service de ressources, du type de ressource et du nom de ressource.

Les attributs de ressource sont disponibles pour les services et types de ressources Google Cloud répertoriés sur cette page. Les autres services et types de ressources ne sont pas compatibles avec les attributs de ressource.

Pour en savoir plus sur les conditions Cloud Identity and Access Management (Cloud IAM), consultez les pages suivantes :

Valeurs du service de ressources

Le tableau suivant répertorie les valeurs de chaîne autorisées pour l'attribut de service de ressources.

Valeur du service de ressources Documentation de référence sur REST
bigtableadmin.googleapis.com Documentation de référence de l'API
cloudkms.googleapis.com Documentation de référence de l'API
cloudresourcemanager.googleapis.com Documentation de référence de l'API
compute.googleapis.com Documentation de référence de l'API
iap.googleapis.com Documentation de référence de l'API
pubsublite.googleapis.com Documentation de référence de l'API
secretmanager.googleapis.com Documentation de référence de l'API
spanner.googleapis.com Documentation de référence de l'API
sqladmin.googleapis.com Documentation de référence de l'API
storage.googleapis.com Documentation de référence de l'API

Valeurs du type de ressource

Le tableau suivant répertorie les valeurs de chaîne autorisées pour l'attribut de type de ressource.

Valeur du type de ressource Référence
bigtableadmin.googleapis.com/Cluster1 Lire la suite
bigtableadmin.googleapis.com/Instance1 Lire la suite
bigtableadmin.googleapis.com/Table1 Lire la suite
cloud.googleapis.com/Location1 Lire la suite
cloudkms.googleapis.com/CryptoKey Lire la suite
cloudkms.googleapis.com/CryptoKeyVersion Lire la suite
cloudkms.googleapis.com/KeyRing Lire la suite
cloudresourcemanager.googleapis.com/Project Lire la suite
compute.googleapis.com/BackendService Lire la suite
compute.googleapis.com/Disk Lire la suite
compute.googleapis.com/Firewall Lire la suite
compute.googleapis.com/ForwardingRule Lire la suite
compute.googleapis.com/GlobalForwardingRule Lire la suite
compute.googleapis.com/Image Lire la suite
compute.googleapis.com/Instance Lire la suite
compute.googleapis.com/InstanceTemplate Lire la suite
compute.googleapis.com/Snapshot Lire la suite
compute.googleapis.com/TargetHttpProxy Lire la suite
compute.googleapis.com/TargetHttpsProxy Lire la suite
compute.googleapis.com/TargetSslProxy Lire la suite
compute.googleapis.com/TargetTcpProxy Lire la suite
iap.googleapis.com/Tunnel Lire la suite
iap.googleapis.com/TunnelInstance Lire la suite
iap.googleapis.com/TunnelZone Lire la suite
iap.googleapis.com/Web Lire la suite
iap.googleapis.com/WebService Lire la suite
iap.googleapis.com/WebServiceVersion Lire la suite
iap.googleapis.com/WebType Lire la suite
pubsublite.googleapis.com/Location Lire la suite
pubsublite.googleapis.com/Subscription Lire la suite
pubsublite.googleapis.com/Topic Lire la suite
secretmanager.googleapis.com/Secret Lire la suite
secretmanager.googleapis.com/SecretVersion Lire la suite
spanner.googleapis.com/Database Lire la suite
spanner.googleapis.com/Instance Lire la suite
sqladmin.googleapis.com/Instance Lire la suite
storage.googleapis.com/Bucket Lire la suite
storage.googleapis.com/Object Lire la suite

1 Cloud Key Management Service utilise ce type de ressource comme parent des ressources du trousseau de clés.

Format du nom des ressources

Le tableau suivant répertorie le format autorisé pour les attributs de nom de ressource.

Référence de ressource Modèle du format des noms de ressources
Clusters BigTable projects/project-number/instances/instance-id/clusters/cluster-id
Instances Bigtable projects/project-number/instances/instance-id
Tables Bigtable projects/project-number/instances/instance-id/tables/table-id
Clés cryptographiques Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id
Versions de clés cryptographiques Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id/cryptoKeys/cryptokey-id/cryptoKeyVersions/cryptokeyversion-id
Trousseaux de clés Cloud KMS projects/project-number/locations/location-id/keyRings/keyring-id
Instances Cloud SQL projects/project-number/instances/instance-id
Buckets Cloud Storage1 projects/_/buckets/bucket-name
Objets Cloud Storage1 projects/_/buckets/bucket-name/objects/object-name
Services de backend globaux Compute Engine projects/project-id/global/backendServices/backend-service-id
Services de backend régionaux Compute Engine projects/project-id/regions/region-id/backendServices/backend-service-id
Pare-feu Compute Engine projects/project-id/global/firewalls/firewall-id
Règles de transfert globales Compute Engine projects/project-id/global/forwardingRules/forwarding-rule-id
Règles de transfert régionales Compute Engine projects/project-id/regions/region-id/forwardingRules/forwarding-rule-id
Images Compute Engine projects/project-id/global/images/image-id
Modèles d'instances Compute Engine projects/project-id/global/instanceTemplates/instance-template-id
Instances Compute Engine projects/project-id/zones/zone-id/instances/instance-id
Disques persistants régionaux Compute Engine projects/project-id/regions/region-id/disks/disk-id
Disques persistants zonaux Compute Engine projects/project-id/zones/zone-id/disks/disk-id
Instantanés Compute Engine projects/project-id/global/snapshots/snapshot-id
Proxys HTTP cibles globaux Compute Engine projects/project-id/global/targetHttpProxies/target-http-proxy-id
Proxys HTTP cibles régionaux Compute Engine projects/project-id/regions/region-id/targetHttpProxies/target-http-proxy-id
Proxys HTTPS cibles globaux Compute Engine projects/project-id/global/targetHttpsProxies/target-https-proxy-id
Proxys HTTPS cibles régionaux Compute Engine projects/project-id/regions/region-id/targetHttpsProxies/target-https-proxy-id
Proxys SSL cibles Compute Engine projects/project-id/global/targetSslProxies/target-ssl-proxy-id
Proxys TCP cibles Compute Engine projects/project-id/global/targetTcpProxies/target-tcp-proxy-id
Emplacements Pub/Sub Lite projects/project-number/locations/location
Abonnements Pub/Sub Lite projects/project-number/locations/location/subscriptions/subscription-id
Sujets Pub/Sub Lite projects/project-number/locations/location/topics/topic-id
Secrets Secret Manager projects/project-number/secrets/secret-id
Versions de secrets de Secret Manager2 projects/project-number/secrets/secret-id/versions/secret-version
Bases de données Spanner projects/project-number/instances/instance-id/databases/database-id
Instances Spanner projects/project-number/instances/instance-id

1 Pour Cloud Storage, les noms de ressources contiennent un trait de soulignement (_) plutôt qu'un ID de projet. Vous ne pouvez pas remplacer le trait de soulignement par un ID de projet, un nom de projet ni un numéro de projet.

2 Si une condition évalue le nom de ressource pour une version de secret, la version de secret de la requête doit correspondre exactement à la version de la condition pour que la condition soit remplie. Par exemple, si la version de la condition est latest, seule une requête avec la version latest remplit la condition. Une requête utilisant la version 3 ne remplit pas la condition, même si 3 est la dernière version en date.

Tags de ressource

Vous pouvez associer des tags à des organisations, des projets et des dossiers. N'importe quelle ressource Google Cloud peut hériter des tags de ces ressources de niveau supérieur.

Vous pouvez utiliser différents types d'identifiants pour faire référence à des clés et des valeurs de tags :

  • Un ID permanent, qui est unique et ne peut jamais être réutilisé. Par exemple, l'ID permanent d'une clé de tag peut être tagKeys/123456789012 et l'ID permanent d'une valeur de tag peut être tagValues/567890123456.
  • Un nom court. Le nom court de chaque clé doit être unique au sein de votre organisation, et le nom court de chaque valeur doit être unique pour la clé associée. Par exemple, une clé de tag peut avoir le nom court env et une valeur de tag peut avoir le nom court prod.
  • Un nom d'espace de noms, qui ajoute l'ID numérique de votre organisation au nom court d'une clé de tag. Par exemple, une clé de tag peut avoir le nom d'espace de noms 123456789012/env. Découvrez comment obtenir l'ID de votre organisation.

Les identifiants spécifiques dépendent des clés et des valeurs de tag que vous avez créées pour votre organisation. Pour savoir comment répertorier les clés et les valeurs de tag disponibles, consultez la section Répertorier les clés TagKeys et les valeurs TagValues.